Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Mentions légales
Les clients sont responsables de leur propre évaluation indépendante des
informations contenues dans ce document. Le présent document : (a) est fourni à titre
informatif uniquement, (b) représente les offres et pratiques actuelles de produits
AWS, qui sont susceptibles d'être modifiées sans préavis, et (c) ne crée aucun
engagement ou assurance de la part d'AWS et de ses affiliés, fournisseurs ou
concédants de licences. Les produits ou services AWS sont fournis « en l'état » sans
garantie, représentation ou condition, de quelque nature que ce soit, explicite ou
implicite. Les responsabilités et obligations d'AWS envers ses clients sont déterminées
par les contrats AWS, et le présent document ne fait pas partie d'un contrat entre AWS
et ses clients, ni le modifie.
© 2021, Amazon Web Services, Inc. ou ses sociétés apparentées. Tous droits réservés.
Table des matières
Introduction .................................................................................................................................... 1
Présentation de l'arrêt Schrems II ........................................................................................... 1
Présentation des recommandations du CEPD ...................................................................... 2
Impact de Schrems II et des recommandations du CEPD
sur l'utilisation des services AWS ............................................................................................ 2
Cartographie des transferts de données clients ...................................................................... 3
Partie contractante AWS .......................................................................................................... 4
Comment les clients peuvent-ils transférer leurs données ? ............................................. 4
Sous-traitance ............................................................................................................................. 5
Outil de transfert ........................................................................................................................... 5
Évaluation des lois et des pratiques du pays destinataire ..................................................... 6
Mesures supplémentaires ............................................................................................................. 8
Mesures techniques ................................................................................................................... 9
Mesures contractuelles ........................................................................................................... 10
Mesures organisationnelles .................................................................................................... 11
Ressources supplémentaires ...................................................................................................... 12
Versions des documents ............................................................................................................. 12
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
Résumé
Ce document fournit des informations sur les services et les ressources qu'Amazon
Web Services (AWS) propose à ses clients pour faciliter les évaluations de transfert de
données conformément à l'arrêt « Schrems II » concernant les transferts de données à
caractère personnel soumis au règlement général sur la protection des données ainsi
qu'aux recommandations ultérieures du Comité européen de la protection des
données. Ce document décrit également les mesures supplémentaires clés prises et
mises à disposition par AWS pour protéger les données clients.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
1
Introduction
AWS s'engage à permettre à ses clients d’utiliser tous les services AWS en conformité
avec les réglementations de l'UE en matière de protection des données, notamment le
règlement général sur la protection des données (RGPD). Ce document décrit la
manière dont les clients d'AWS peuvent continuer à utiliser les services AWS en
conformité avec les besoins de protection des données, dont le paysage évolue
rapidement dans l'UE, suite à l'arrêt Schrems II et aux recommandations ultérieures
publiées par le Comité européen de la protection des données (CEPD). Les étapes qui
sont décrites dans ce document expliquent la manière dont les clients peuvent évaluer
leur utilisation des services AWS conformément à l'arrêt Schrems II et aux
recommandations du CEPD, et par conséquent, se conformer au règlement européen
sur la protection des données.
Présentation de l'arrêt Schrems II
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt
(l'arrêt « Schrems II ») sur le transfert de données à caractère personnel soumises au
RGPD en-dehors de l'Espace économique européen (EEE). Dans l'arrêt Schrems II, la CJUE
a statué que le bouclier de protection de la vie privée UE-USA n'était plus un mécanisme
valide pour transférer des données à caractère personnel de l'EEE vers les États-Unis.
Toutefois, dans le même arrêt, la CJUE a confirmé que les organisations peuvent (sous
réserve du respect de certaines conditions résumées ci-dessous) continuer à utiliser les
clauses contractuelles types (CCT) comme mécanisme valide pour transférer des
données à caractère personnel en-dehors de l'EEE. La CJUE a confirmé que les
organisations transférant des données à caractère personnel en-dehors de l'EEE
(exportateurs de données) doivent, en coopération avec les destinataires de ces
données à caractère personnel (importateurs de données), évaluer s'il existe un niveau
de protection des données à caractère personnel transférées qui soit essentiellement
équivalent à celui garanti dans l'EEE par le RGPD.
Les exportateurs de données doivent procéder à ces évaluations même lorsque les
exportateurs de données et les importateurs de données utilisent les CCT comme base
du transfert. Lorsque les clients transfèrent en dehors de l’EEE des données à caractère
personnel téléchargées dans les services AWS dans leurs comptes AWS (données
clients), les clients sont des exportateurs de données et AWS est l'importateur de
données.
Dans l'arrêt Schrems II, la CJUE a par ailleurs réaffirmé que, sur la base de l'évaluation
susmentionnée, AWS et ses clients pourraient être amenés à prendre des « mesures
supplémentaires » (en complément de la mise en œuvre des CCT) visant à garantir un
niveau de protection essentiellement équivalent pour les données à caractère
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
2
personnel transférées vers des pays situés en-dehors de l'EEE.
Présentation des recommandations du CEPD
Le CEPD, un organe qui comprend des représentants des autorités de protection des
données de tous les États membres de l'UE, a fourni des exemples de mesures
supplémentaires dans ses « Recommandations 01/2020 sur les mesures qui
complètent les outils de transfert pour assurer la conformité avec le niveau de
protection des données à caractère personnel de l'UE » (Recommandations du CEPD).
Les recommandations du CEPD fournissent également des indications pour évaluer s'il
existe un niveau de protection essentiellement équivalent pour les transferts de
données en-dehors de l'EEE à la suite de Schrems II. Elles recommandent aux
exportateurs de données de procéder à une évaluation du transfert de données en six
étapes (évaluation du transfert de données du CEPD) :
Étape 1 : effectuez une cartographie des transferts internationaux de données,
et évaluez si les données transférées sont conformes et limitées aux besoins
strictement nécessaires.
Étape 2 : vérifiez l'outil de transfert sur lequel repose le transfert (par exemple,
les clients s'appuient sur les CCT pour le transfert des données clients).
Étape 3 : évaluez les lois ou pratiques en vigueur dans les pays tiers susceptibles
de nuire à l'efficacité des garanties prévues par l'outil de transfert, notamment
en utilisant les recommandations 02/2020 sur les garanties essentielles
européennes pour les mesures de surveillance.
Étape 4 : si l'exportateur de données estime que l'utilisation de l'outil de transfert
à elle seule ne fournira pas un niveau de protection essentiellement équivalent,
identifiez les mesures contractuelles, techniques ou organisationnelles
supplémentaires qui sont nécessaires pour porter le niveau de protection des
données transférées au niveau du standard EEE d'équivalence essentielle.
Étape 5 : prenez toutes les mesures procédurales formelles que l'adoption
de votre/vos mesure(s) supplémentaire(s) peut exiger.
Étape 6 : réévaluez, à intervalles appropriés, le niveau de protection offert aux
données que l'exportateur de données transfère vers les pays tiers, et vérifiez si
des évolutions susceptibles de l'affecter ont eu lieu ou auront lieu.
Impact de Schrems II et des recommandations du CEPD
sur l'utilisation des services AWS
Les clients d'AWS peuvent continuer à utiliser les services AWS pour transférer les
données clients en-dehors de l'EEE, en conformité avec les lois sur la protection des
données (notamment le RGPD). AWS intègre l'addendum au traitement des données
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
3
du RGPD d'AWS (RGPD DPA d'AWS) dans les conditions de service AWS (AWS Service
Terms), ce qui signifie que le RGPD DPA d'AWS s'applique automatiquement à tous les
clients qui utilisent les services AWS pour traiter les données clients soumises au RGPD
lorsque AWS est le sous-traitant (tel que défini dans le RGPD) de ces données clients.
Chez AWS, la priorité absolue est de sécuriser les données clients. AWS met en oeuvre
des mesures techniques et organisationnelles rigoureuses pour protéger leur
confidentialité, leur intégrité et leur disponibilité, indépendamment de la région AWS
sélectionnée par le client.
AWS fournit des services et des outils de chiffrement avancés dont les clients AWS
peuvent se servir pour protéger les données clients. Les clients d'AWS peuvent gérer
leurs propres clés de chiffrement à partir d'un certain nombre de solutions de
chiffrement natives d'AWS ou de tiers. AWS applique des politiques rigoureuses lors du
traitement des demandes de divulgation émanant d'organismes nationaux, et prend
des engagements contractuels fermes pour protéger les données des clients, comme
l'explique plus en détail la section Mesures contractuelles du présent livre blanc.
AWS poursuivra la mise à jour de ses pratiques afin de répondre à l'évolution des
besoins et des attentes des clients et des régulateurs, et se conformera pleinement à
toutes les lois applicables dans chaque pays où elle opère.
Pour en savoir plus, consultez l’information des clients sur le bouclier de protection de
la vie privée UE-États-Unis et la l’information de clients sur les engagements renforcés
pour protéger les données des clients.
Si vous avez des questions sur les transferts de données clients vers et depuis
le Royaume-Uni après le Brexit, consultez la page web AWS et Brexit.
Cartographie des transferts de données
clients
Cette section vous aide à réaliser l'étape 1 de l'évaluation du transfert des données
du CEPD.
Étape 1 : effectuez une cartographie des transferts internationaux de
données, et évaluez si les données transférées sont conformes et limitées
aux besoins strictement nécessaires.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
4
Partie contractante AWS
Comme décrit dans le Contrat client AWS, qui régit l'utilisation des services AWS par
les clients d'AWS, le fournisseur européen du registre AWS (Amazon Web Services
EMEA SARL), basé au Luxembourg, est la partie contractante d'AWS qui fournit les
services AWS aux clients situés en Europe, au Moyen-Orient et en Afrique (à l'exception
de l'Afrique du Sud). Conformément au Contrat client AWS, d'autres filiales d'AWS
fournissent les services AWS à des clients situés en dehors de l'Europe, du
Moyen-Orient et de l'Afrique.
Comment les clients peuvent-ils transférer
leurs données ?
Conformément au RGPD DPA d'AWS, les clients sélectionnent la région AWS dans
laquelle ils stockent leurs données client. Les clients découvrent un aperçu des régions
AWS disponibles sur la page web des régions et des zones de disponibilité.
Conformément au RGPD DPA d'AWS, AWS ne transférera pas les données du client en
dehors de la région AWS sélectionnée par le client, sauf si cela est nécessaire pour
fournir les services AWS initiés par ce dernier, ou pour se conformer à la loi ou à un
ordre valide et contraignant d'un organisme national.
Grâce à AWS, les clients sont propriétaires de leurs données client, ils en contrôlent
l'emplacement et les personnes qui y ont accès. À travers ses services, AWS fait preuve
de transparence quant au traitement des données clients. Comme indiqué sur la page
web fonctions de protection de la vie privée des services AWS, chaque client peut
utiliser ces services en sachant que leurs données clients restent dans la région AWS
qu'il aura lui-même sélectionnée.
Un nombre restreint de services AWS prévoit le transfert des données clients, par
exemple pour développer et améliorer ces services AWS, cette option de transfert
pouvant être désactivée par le client, ou parce que le transfert est une fonction
essentielle du service AWS (comme un service de diffusion de contenu). AWS interdit,
et ses systèmes sont conçus pour empêcher, l'accès à distance par le personnel d'AWS
aux données clients à une quelconque fin, y compris la maintenance des services, sauf
si l'accès est demandé par les clients, s'il se révèle nécessaire pour prévenir la fraude et
les abus, ou pour se conformer à la loi.
Pour en savoir plus sur l'approche d'AWS pour traiter les demandes des organismes
gouvernementaux, consultez les sections Évaluation des lois du pays destinataire et
Mesures supplémentaires du présent livre blanc.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
5
Sous-traitance
Vous pouvez déterminer le lieu de traitement des données clients en consultant la
page web des sous-traitants d'AWS, où AWS dresse la liste des sous-traitants qu'elle a
engagés pour fournir des services de traitement des données du client au nom du
client (sous-traitants).
Les sous-traitants appropriés pour chaque client dépendent de la région AWS
sélectionnée par le client et des services AWS particuliers utilisés par ce dernier.
Il existe trois types de sous-traitants :
Les entités AWS qui fournissent l'infrastructure sur laquelle les services
AWS fonctionnent.
Les entités AWS qui prennent en charge des services AWS spécifiques,
susceptibles d'exiger de ces entités qu'elles traitent les données clients.
Les tiers engagés par AWS pour fournir des activités de traitement pour
des services AWS spécifiques.
AWS met à jour la page web des sous-traitants au moins 30 jours avant d'engager un
nouveau sous-traitant. Si vous vous abonnez aux mises à jour, AWS vous informera par
e-mail des modifications apportées à cette page web.
Outil de transfert
Cette section vous aide à franchir l'étape 2 de l'évaluation du transfert des données
du CEPD.
Lorsque les clients demandent aux services AWS de transférer des données clients
en-dehors de l'EEE conformément à la section Cartographie des transferts de
données client du présent livre blanc, AWS utilise les CCT pour valider ces transferts.
L'arrêt Schrems II et les recommandations du CEPD confirment que les CCT sont un
mécanisme valide pour transférer des données à caractère personnel soumises au
RGPD en-dehors de l'EEE. Les clients d'AWS peuvent donc toujours recourir aux CCT
inclus dans le RGPD DPA d'AWS pour les transferts de données clients, en conformité
avec le RGPD.
Étape 2 : vérifiez l'outil de transfert utilisé pour transférer les données
(par exemple les CCT)
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
6
Évaluation des lois et des pratiques du
pays destinataire Cette section vous aide à appliquer l'étape 3 de l'évaluation du transfert des données
du CEPD.
Chez AWS, vous êtes libre de choisir parmi une série de services AWS à la demande que
vous pouvez provisionner et configurer pour créer vos propres produits et offres de
services. AWS vous donne le contrôle total de vos données clients à tout moment,
grâce à des outils simples, mais puissants qui vous permettent de déterminer où sont
stockées vos données clients et de les sécuriser en transit et en veille. Vous êtes le
mieux placé pour déterminer les lois qui s'appliquent à vos données clients, car vous
déterminez comment, où et pourquoi sont traitées les données clients que vous utilisez
avec les services AWS.
Si vous avez des questions sur les lois de surveillance des États-Unis, notamment sur la
section 702 du Foreign Intelligence Surveillance Act 1978 (FISA), consultez le Livre
blanc Informations sur les garanties US en matière de protection de la vie privée
applicables aux CCT et aux autres bases juridiques de l'UE pour les transferts de données
entre l'UE et les États-Unis à la suite de Schrems II, publié conjointement par le
ministère américain du Commerce, le ministère de la Justice et le Bureau du directeur
du renseignement national en septembre 2020, détaillant les limites et les garanties
relatives à leur accès aux données en réponse à l'arrêt Schrems II (le « Livre blanc »)
Selon le « Livre blanc », il est peu probable pour de nombreuses entreprises que la
question de l'accès de la sécurité nationale à leurs données à caractère personnel se
pose, du fait que ces données ne devraient pas intéresser les agences de sécurité
nationale. Le « Livre blanc » souligne que :
Les entreprises manipulant « des informations commerciales ordinaires, comme
les dossiers des employés, des clients ou des ventes, ne devraient avoir aucune
raison de penser que les services de renseignement américains cherchent à
collecter ces données ».
« En théorie, la possibilité qu'une agence de renseignement américaine puisse
accéder unilatéralement à des données transférées depuis l'UE à l'insu de
l'entreprise n'est pas différente de la probabilité que les agences de
renseignement d'autres gouvernements, y compris celles des États membres de
Étape 3 : évaluez les lois ou pratiques en vigueur dans les pays tiers
susceptibles de nuire à l'efficacité des garanties prévues par l'outil de
transfert, notamment en utilisant les recommandations 02/2020 sur les
garanties essentielles européennes pour les mesures de surveillance.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
7
l'UE, ou une entité privée agissant de manière illicite, puissent accéder à ces
données. » Le « Livre blanc » précise également que cet accès aux données peut
se produire partout dans le monde, et pas seulement aux États-Unis.
Des recours individuels sont possibles, notamment pour les citoyens de l'Union
européenne, en cas de violation de l'article 702 de la FISA, par le biais de
mesures qui n'ont pas été abordées par la Cour dans l'arrêt Schrems II,
notamment les dispositions de la FISA autorisant les actions privées en
dommages-intérêts compensatoires et punitifs.
Des garanties supplémentaires en matière de protection de la vie privée ont été
incluses dans l'article 702 de la FISA, notamment des modifications apportées
en 2018 qui ont introduit : (i) des procédures de requêtes (en plus des
procédures de ciblage et de minimisation) ; (ii) des dispositions améliorant la
surveillance par le Comité de surveillance de la protection de la vie privée et des
libertés civiles ; (iii) des exigences relatives aux agents chargés de la protection
de la vie privée et des libertés civiles pour d'autres agences concernées ; (iv) des
protections élargies en matière de dénonciation pour les contractants ; et (v) des
exigences en matière de transparence, notamment des dispositions relatives à la
divulgation du nombre de cibles de l'article 702 de la FISA.
AWS examine chaque demande d'application de la loi de manière individuelle et
indépendante, quels que soient les lois applicables et le pays d'où elles proviennent.
Amazon a l'habitude de contester formellement les demandes d'informations des pays
sur les clients qu'elle estime trop vastes ou inappropriées. AWS poursuivra l'examen
minutieux de ces demandes, y compris celles qui entrent en conflit avec la législation
locale telle que le RGPD, et s'opposera lorsqu'elle aura des raisons légitimes de le faire.
AWS prend également des mesures supplémentaires et les met à disposition pour
soutenir l'efficacité des CCT, tel que décrit dans la section Mesures supplémentaires du
présent livre blanc. Ces mesures supplémentaires comprennent l'addendum
supplémentaire au RGPD DPA d'AWS dans lequel AWS prend des engagements
contractuels renforcés pour contester les demandes émanant des autorités chargées de
l’application de la loi et autres autorités judiciaires, comme indiqué plus en détail dans
la section Mesures contractuelles de ce Livre blanc.
Les recommandations du CEPD permettent également aux clients d'AWS de prendre en
compte l'expérience pratique d'AWS « avec des cas antérieurs pertinents de demandes
d'accès reçues d'autorités publiques » en-dehors de l'EEE.
Pour faciliter l'évaluation de ces demandes antérieures par les clients d'AWS, AWS
publie des rapports réguliers sur la page web Demandes d'informations Amazon,
concernant les types et le volume les demandes émanant des autorités chargées de
l’application de la loi et autres autorités judiciaires qu'AWS reçoit. Les informations
fournies dans les rapports de demande d'information démontrent que les divulgations
de données clients par AWS en réponse aux demandes d'information des autorités
nationales sont très rares.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
8
Mesures supplémentaires
Cette section vous aide à appliquer les étapes 4, 5 et 6 de l'évaluation du transfert des
données du CEPD.
Les recommandations du CEPD identifient une liste non exhaustive de mesures
supplémentaires qu'AWS et ses clients peuvent adopter, en fonction du résultat
de l'évaluation du transfert des données clients décrite dans la section
Présentation des recommandations du CEPD du présent livre blanc.
Ces mesures supplémentaires relèvent des trois catégories suivantes :
Mesures techniques, notamment le chiffrement et la journalisation
Protections contractuelles, y compris les engagements relatifs aux demandes
émanant des autorités chargées de l’application de la loi et autres autorités
judiciaires relatives à des données telles que celles publiées par AWS dans
l'addendum supplémentaire d'AWS
Mesures organisationnelles, consistant en des politiques et des standards
internes, des mesures visant à minimiser la collecte et la conservation des
données, et l'adoption de codes de conduite
Cette section présente les principales mesures supplémentaires techniques,
contractuelles et organisationnelles qu'AWS adopte et met à disposition pour protéger
les données des clients et soutenir l'efficacité des CCT. AWS poursuivra la mise à jour
de ce document au fil de l'évolution de ses mesures supplémentaires.
Étape 4 : si les lois ou pratiques des pays tiers impliquent que
l'utilisation de l'outil de transfert à elle seule ne fournit pas un niveau
de protection essentiellement équivalent, identifiez les mesures
contractuelles, techniques ou organisationnelles supplémentaires qui
sont nécessaires pour porter le niveau de protection des données
transférées au niveau du standard EEE d'équivalence essentielle.
Étape 5 : prenez toutes les mesures procédurales formelles
que l'adoption de votre mesure supplémentaire peut exiger.
Étape 6 : réévaluez, à intervalles appropriés, le niveau de protection
offert aux données transférées par l'exportateur vers les pays tiers,
et vérifiez si des évolutions susceptibles de l'affecter ont eu lieu ou
auront lieu.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
9
Mesures techniques Contrôle du client
Vous avez un contrôle total sur vos données client grâce à des services et des outils
AWS simples mais puissants, qui vous permettent de déterminer où les données client
seront stockées, comment elles sont sécurisées et qui y a accès.
Modèle de responsabilité partagée
AWS applique un Modèle de responsabilité partagée qui répartit les responsabilités en
matière de sécurité et de conformité entre AWS et les clients en fonction du mode de
fonctionnement des services AWS et du niveau de contrôle de chaque partie sur les
services AWS. Dans le cadre du modèle de responsabilité partagée, AWS est
responsable de la fourniture d'une infrastructure et de services sécurisés (sécurité
« DU » cloud), tandis que les clients sont responsables de l'architecture et de la
sécurisation de leurs applications et solutions qu'ils choisissent de déployer dans le
cloud AWS (sécurité « DANS » le cloud).
Pour la sécurité du cloud, AWS implémente des contrôles et des processus techniques et
physiques responsables et sophistiqués conçus pour empêcher l'accès ou la divulgation
non autorisés des données des clients (comme en témoigne son programme de
conformité détaillé sur le page web des programmes de conformité d'AWS).
Pour la sécurité dans le cloud, AWS met à disposition des produits, outils et services que
vous pouvez utiliser pour concevoir et sécuriser vos applications et solutions. AWS
fournit des exemples de ces produits, outils et services clés dans la suite de cette section.
Voir AWS Well-Architected pour en savoir plus sur ces produits, outils et services.
Chiffrement
Le chiffrement (incluant la gestion des clés de chiffrement) est une mesure technique
supplémentaire essentielle décrite dans les recommandations du CEPD. AWS fournit
des services et des outils de chiffrement avancés que vous pouvez utiliser pour
protéger les données clients.
Vous pouvez gérer vos propres clés de chiffrement à partir d'un certain nombre de
solutions de chiffrement natives AWS ou tierces. AWS Key Management Service (KMS)
est un service géré qui simplifie la création et le contrôle des clés de chiffrement
utilisées pour chiffrer vos données. Ce service utilise des Hardware Security Modules
(HSM) certifiés FIPS-140-2 pour protéger la sécurité de vos clés.
Toutes les demandes d'utilisation de clés dans AWS KMS sont journalisées dans AWS
CloudTrail pour permettre aux clients de savoir qui a utilisé quelle clé, dans quel
contexte et quand. Les données d'événements journalisées sur AWS CloudTrail ne sont
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
10
pas modifiables. AWS KMS est conçu de manière à ce que ni AWS (y compris les
employés d'AWS) ni les fournisseurs tiers d'AWS ne puissent récupérer, visualiser ou
divulguer les clés primaires des clients dans un format non chiffré.
Système AWS Nitro
Le système AWS Nitro est la plate-forme sous-jacente de toutes les instances
modernes d'Amazon Elastic Compute Cloud (Amazon EC2). Il garantit une
confidentialité et une protection des données supplémentaires pour les applications
des clients. Grâce à un matériel, un microprogramme et un logiciel spécialement
conçus, le système AWS Nitro offre une sécurité et une isolation uniques et à la pointe
de l'industrie en déchargeant les fonctions de virtualisation, par exemple le stockage et
la mise en réseau, sur un matériel dédié et un microprogramme associé.
Le système AWS Nitro est aussi conçu pour ne pas donner d’accès à un opérateur AWS.
Dans le système AWS Nitro, il n'existe aucun mécanisme permettant à un système ou à
une personne de se connecter aux serveurs EC2 (l'infrastructure hôte sous-jacente), de
lire la mémoire des instances EC2 ou d'accéder aux données de stockage d'instance et
volumes chiffrés Amazon Elastic Block Store (Amazon EBS).
Mesures contractuelles RGPD DPA d'AWS
Dans le RGPD DPA d'AWS, AWS prend des engagements contractuels sur les mesures
qu'elle adopte et rend disponibles pour protéger les données clients. Par exemple,
AWS s'engage contractuellement à :
(i) Mettre en œuvre des mesures techniques pour protéger le réseau AWS
(ii) Accompagner les clients dans le respect de leurs obligations de sécurité
conformément au RGPD en offrant des outils et des fonctionnalités
(iii) Fournir des certifications tierces et des rapports d'audit afin que les clients
puissent vérifier la conformité d'AWS avec le RGPD DPA d'AWS
Addendum supplémentaire
AWS a publié un addendum supplémentaire au RGPD DPA d'AWS qui définit les
engagements contractuels que les clients peuvent utiliser comme mesures
contractuelles supplémentaires conformément aux recommandations du CEPD.
Dans l'addendum supplémentaire, AWS s'engage à
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
11
(i) Tout mettre en œuvre pour rediriger vers le client concerné tout organisme
national demandant des données le concernant
(ii) Informer sans tarder le client concerné de la demande si la loi l'y autorise
(iii) Contester toute demande excessive ou inappropriée, y compris lorsque la
demande viole le droit de l'UE
Après application des mesures précédentes, AWS s'engage également à ne divulguer
que le minimum de données nécessaires pour satisfaire à la demande si elle reste
contrainte de divulguer les données clients.
Pour aider les clients à évaluer les lois des pays destinataires (voir Évaluer les lois et les
pratiques du pays destinataire dans le présent livre blanc), AWS garantit qu'elle n'a
aucune raison de croire que la législation applicable à AWS ou à ses sous-traitants, y
compris dans chaque pays vers lequel les données des clients sont transférées,
empêche AWS de remplir ses obligations en vertu du RGPD DPA d'AWS ou de
l'addendum supplémentaire.
AWS s'engage également à notifier immédiatement tout changement de législation
susceptible d'avoir un impact substantiel sur le respect des obligations d'AWS. Pour en
savoir plus, consultez AWS et les transferts de données de l'UE : engagements renforcés
pour protéger les données des clients.
Mesures organisationnelles Processus
AWS dispose de processus internes pour traiter les demandes gouvernementales
relatives à des données clients et, quelle que soit la source de la demande ou les lois
applicables, AWS examine chaque demande d’organisme national individuellement
et indépendamment, conformément à ses directives d'application de la loi et aux
engagements pris dans l'addendum supplémentaire d'AWS. AWS limite
rigoureusement – ou rejette purement et simplement – les demandes émanant des
autorités chargées de l’application de la loi et autres autorités judiciaires concernant
les données clients provenant de tout pays, et même des États-Unis, lorsqu'elles sont
trop vastes ou qu'AWS ne dispose pas de raisons valables pour le faire.
Amazon Web Services Conformité aux exigences de l'UE en matière de transfert de données
12
Rapports de demande d'information
Consciente de l'importance de la transparence pour ses clients, AWS publie
régulièrement sur la page Web des Demandes d'information émanant des autorités
chargées de l’application de la loi et autres autorités judiciaires un rapport sur les
demandes d'information (IRR) concernant les types et le volume des demandes
autorités publiques qu'elle reçoit. À partir du rapport juillet-décembre 2020, AWS a
lancé un nouveau format de rapport IRR en tant que mesure supplémentaire
organisationnelle qui fournit plus d'informations sur les types de demandes des
autorités publiques que reçoit AWS, et sur le pays d'origine desdites demandes.
Pour utiliser ce nouveau format de rapport IRR, consultez le Rapport de demande
d'information Amazon. Les informations fournies dans les rapports IRR démontrent
que les divulgations de données clients par AWS en réponse aux demandes
d'information des autorités publiques sont très rares.
Ressources supplémentaires
Pour vous aider à mieux comprendre comment vous pouvez respecter vos exigences de
protection des données, nous vous encourageons à lire les livres blancs, les bonnes
pratiques, les listes de contrôle et les guides liés aux risques, à la conformité et à la
sécurité, publiés sur le site web d'AWS. Ces documents sont disponibles sur les sites
web Conformité AWS et sécurité du cloud AWS.
Versions des documents
Date Description
7 septembre
2021
Première publication